Das müssen Sie beachten
Datenschutz
Das müssen Unternehmen und Mitarbeiter beachten
Inhaltsverzeichnis
Was bildet die Grundlage für den Datenschutz in Deutschland?
Der Datenschutz in Deutschland wird hauptsächlich durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) geprägt. Alle Grundlagen zum Datenschutz werden in Deutschland in der sogenannten EU-Datenschutzgrundverordnung (DSGVO) geregelt. Sie bedeutet ein verbindliches Datenschutzrecht für alle Personen und Unternehmen, die in Deutschland bzw. Europa leben oder ihren Firmensitz haben. Die neue Datenschutzgrundverordnung trat bereits am 24. Mai 2016 in Kraft. Seit dem 25. Mai 2018 sind alle darin enthaltenen Maßnahmen zum Datenschutz verbindlich in den jeweiligen Mitgliedsstaaten anzuwenden. Damit gilt die EU-Datenschutzgrundverordnung auch vor dem jeweiligen nationalen Recht.
Exkurs: Datenschutz und Datenschutzgesetze in den USA
Im Vergleich zu Deutschland und Europa existiert in den USA kein umfassendes und allgemein gültiges Datenschutzgesetz. Hier gelten für unterschiedliche Bereiche jeweils eigene Gesetze, beispielsweise für das Gesundheitswesen, den Finanzsektor oder auch für die Sparte Wirtschaft und Handel. In den USA zählt der Datenschutz zum Verbraucherschutzrecht und stellt damit einen Teil des Wirtschaftslebens dar. In Deutschland und Europa dagegen gehören personenbezogene Daten schlichtweg zu den Grundrechten eines jeden Bürgers. Daher unterschätzen viele deutsche und europäische IT-Entscheider die Auswirkung des ebenfalls 2018 in Kraft getretenen CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Dieses Gesetz legt fest, dass Daten, die physisch zwar nicht in den USA gespeichert, aber von US-Unternehmen verwaltet werden, ohne vorhergehenden Beschluss eines Richters übergeben werden müssen. Und genau durch diese Regelung befindet sich der CLOUD Act in einem völligen Widerspruch zur DSGVO. Die Regelungen betreffen fast alle Daten, die sich in der Obhut, der Kontrolle oder dem Besitz eines Unternehmens befinden. Betroffen sind nicht nur personenbezogene Daten, sondern ebenso Patente, unternehmensbezogene Auswertungen und Daten, aber auch Mess- und Telemetriedaten und damit sämtliche Daten, die normalerweise besonders geschützt werden.
In Deutschland steht im Fokus, dass die Grundrechte und Grundfreiheiten von natürlichen Personen im besonderen Maße geschützt werden – allen voran das Recht auf informationelle Selbstbestimmung. Durch die Verordnung werden vor allem die Verbraucherrechte gestärkt. Insbesondere datenverarbeitende Stellen müssen sich an sehr strenge Regularien halten, denn um besonders sensible personenbezogene Daten verarbeiten zu dürfen, muss zwingend eine vorherige Einwilligung des Betroffenen vorliegen.
Deutsche Firmen mit mehr als 10 Mitarbeitern müssen zwingend einen Datenschutzbeauftragten benennen. Gleiches gilt in anderen EU-Staaten ab 20 Mitarbeiter. Aber vor allem Unternehmen, die sich überwiegend mit der Erhebung und der Verarbeitung von personenbezogenen Daten beschäftigen, benötigen (unabhängig von der Unternehmensgröße) zwingend einen Datenschutzbeauftragten.
Für kleine Betriebe gelten Ausnahmen: Und zwar dann, wenn regelmäßig nur neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten betraut sind. In dem Fall können Sie als Geschäftsführer selbst den Datenschutz übernehmen. Die Anzahl der Mitarbeiter bemisst sich übrigens nicht danach, ob es sich bei den Beschäftigten um Voll- oder Teilzeitkräfte oder Freiberufler handelt. Hier wird jede Person voll gewertet. Ein Datenschutzbeauftragter kann ein Mitarbeiter des Unternehmens sein, er kann jedoch auch extern bestellt werden. Er muss seine Fachkunde im Datenschutz durch entsprechende Fortbildungen, z. B. bei der Industrie- und Handelskammer belegen können. Sie sind außerdem verpflichtet, die Kontaktdaten der/des Beauftragten auf Ihrer Website zu veröffentlichen. Räumen Sie deshalb bereits im Vorfeld potenzielle Interessenskonflikte, die die Zuverlässigkeit der/des Beauftragten infrage stellen könnten, aus.
Generell ist die Weiterverarbeitung von Daten vom jeweiligen Zweck abhängig. Das bedeutet, dass personenbezogene Daten, die erhoben wurden, nicht zweckentfremdet werden dürfen und jeder Vorgang der Datennutzung transparent und nachvollziehbar gestaltet sein muss. Inzwischen gilt der Anwendungsbereich auch für Unternehmen aus Drittländern, sobald es sich um Daten von EU-Bürgern handelt. Die Zustimmung zur Verarbeitung muss laut Gesetz aktiv erfolgen – beispielsweise durch ein Kontrollkästchen auf einer Website. Sind unterschiedliche Datenverarbeitungsvorgänge geplant, muss die Einwilligung für jeden einzelnen Vorgang gesondert erfolgen. Diese Einwilligung muss jederzeit vom Betroffenen ohne weitere Begründung auf einfache und verständliche Art und Weise widerrufen werden können.
Außerdem muss es möglich sein, dass der Betroffene aktiv gegen einen einzelnen Zweck der Datenverarbeitung widersprechen kann. Abgesehen davon dürfen Verträge gemäß dem sogenannten Koppelungsverbot nicht mehr davon abhängig gemacht werden, ob eine Einwilligung zur Datenverarbeitung erteilt wurde. Die Datenschutzgrundverordnung schreibt außerdem vor, dass im Zuge des Auskunftsrechts auch Angaben zur jeweiligen Rechtsgrundlage der verarbeiteten und erhobenen Daten, aber auch die Dauer der Speicherung bzw. deren Kriterien genannt werden müssen.
Unternehmen müssen außerdem in der Lage sein, die Daten eines Betroffenen in einem portablen und dennoch sicheren Format auf dessen Wunsch hin direkt an einen Dritten zu übergeben. Wurden Daten an Dritte weitergegeben, müssen die öffentlichen und nichtöffentlichen Stellen im Falle eine Pflicht zur Löschung von falschen oder veralteten Daten die jeweiligen Ansprechpartner kontaktieren und über die Fehlerhaftigkeit informieren.
Treten Fehler oder Pannen auf, können Betroffene vom Datenverarbeiter entsprechende Schadensersatzansprüche geltend machen. Bei Verstößen gegen den Datenschutz sieht das Bundesdatenschutzgesetz (BDSG) ein Bußgeld bis 300.000 Euro oder eine bis zu 2jährige Freiheitsstrafe vor. Die Sanktionen in der EU-Datenschutzgrundverordnung (EU-DSGVO) können wiederum eine Geldbuße von bis zu 4 % des weltweiten Unternehmenssatzes oder bis zu 20 Millionen Euro nach sich ziehen.
Was versteht man unter Datenschutz?
Unter dem Begriff „Datenschutz“ versteht man den Schutz vor einer missbräuchlichen Verarbeitung von personenbezogenen Daten und den Schutz des Rechts auf eine informationelle Selbstbestimmung: Jeder einzelne kann grundsätzlich darüber entscheiden, welche personenbezogenen Daten er preisgibt und ob sie verwendet werden dürfen.
Ein Schutz von personenbezogenen Daten ist dann erforderlich, wenn verantwortliche Stellen gemäß der Datenschutzgrundverordnung personenbezogene Daten verarbeiten. Beim Datenschutz geht es generell darum, Informationen zu schützen, die nicht für die Allgemeinheit gedacht sind. Personenbezogene Daten sind insbesondere private und persönliche Daten, die Rückschlüsse auf eine Person zulassen. Es handelt sich also vor allem um Kontaktdaten wie den Namen, Telefonnummer, Anschrift, E-Mail-Adresse, Geburtsdatum, aber auch die IP-Adresse.
Unter Datenschutz versteht man also den Schutz des Persönlichkeitsrechts nach Artikel 1 und 2 des Grundgesetzes bei der Verarbeitung von Daten und den Schutz der eigenen Privatsphäre des Menschen. Verstöße gegen den Datenschutz werden mit Bußgeldern von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes der verantwortlichen Stelle bestraft. Auch eine Freiheitsstrafe von bis zu 3 Jahren ist möglich.
Warum ist Datenschutz wichtig?
Mit Hilfe des Datenschutzes lassen sich personenbezogene Daten vor einem Datenmissbrauch schützen. Gerade im Zusammenhang mit der fortschreitenden Digitalisierung spielt ein derartiger Schutz eine immer größere Rolle.
So wurden beispielsweise Daten der Teilnehmer eines Gewinnspiels der Krankenkasse AOK für Werbezwecke eingesetzt, obwohl diese einer Verwendung für Marketingmaßnahmen nicht zugestimmt hatten. Die Krankenkasse hatte zwar versucht, durch technische und organisatorische Maßnahmen sicher zu stellen, dass ausschließlich Personen kontaktiert werden, die ihre Zustimmung erteilt hatten, aber diese Maßnahmen erwiesen sich nach den gesetzlichen Vorgaben als unzureichend. Die zuständige Landesbehörde verhängte daraufhin ein Bußgeld von 1,24 Millionen Euro.
Für Betroffene kann es auch schwerwiegende Folgen haben, wenn z. B. die private E-Mail-Adresse bekannt wird und schützenswerte Details über die eigene Krankheitsgeschichte oder Chatverläufe von privaten Gesprächen öffentlich zugänglich gemacht werden. Gleiches gilt natürlich auch für sensible Bankdaten. Im Zuge der Digitalisierung hat der Datenschutz enorm an Bedeutung gewonnen, gerade weil beispielsweise auch durch das Surfverhalten zahlreiche Daten und somit Informationen über das Nutzerverhalten von Dritten gesammelt werden können.
Wer prüft den Datenschutz?
Die Einhaltung des Datenschutzes wird durch die jeweils zuständige Aufsichtsbehörde überwacht. Für Unternehmen bedeutet das, dass die jeweiligen Beauftragten für den Datenschutz der Länder diese Aufgabe übernehmen. Zudem soll der Datenschutzbeauftragte als unabhängige Instanz im Unternehmen auf die Einhaltung der Regularien hinwirken. Damit übernimmt er quasi auch eine Kontrollfunktion, die eigentlich auch den Aufsichtsbehörden obliegen würde. Datenschutzverstöße werden mittlerweile ebenfalls dem Verbraucherschutz zugeordnet, u. a. deswegen, weil sie auch eine rechtliche Relevanz haben. Daher können Verstöße auch durch die Verbraucherschutzorganisationen oder etwaige Mitbewerber durch Abmahnungen geahndet werden.
Generell ist Datenschutz jedoch Chefsache, das bedeutet, das sich auch der Geschäftsführer einer GmbH darum kümmern muss, dass der Datenschutz eingehalten wird. Seit Inkrafttreten der EU-DSGVO haftet dieser auch erst einmal für die vermeintlichen Fehler seiner Mitarbeiter. Im Zuge dessen ist der Verantwortliche auch in der Beweislast bzw. der Nachweispflicht, dass er alle Regeln befolgt hat. Um eine unabhängige Beurteilung zu erhalten, können sich Unternehmen einem sogenannten Datenschutzaudit unterziehen. Passende Auditoren werden beispielsweise über den Bundesverband der Datenschutzbeauftragten Deutschlands (BvD) und der Gesellschaft für Datenschutz und Datensicherheit (GDD) vermittelt.
Exkurs: Wie kann man einen Verstoß gegen die DSGVO melden?
Wenn Sie als Person betroffen sind, wenden Sie sich an den Datenschutzbeauftragten des Unternehmens. Liegt die Verantwortung im nicht-öffentlichen Bereich, ist dafür die zuständige landesspezifische Aufsichtsbehörde. Jedes Bundesland verfügt über einen Landesbeauftragten für den Datenschutz. Für öffentliche Einrichtungen auf Bundesebene liegt die Zuständigkeit beim Bundesbeauftragten für Datenschutz und Informationsfreiheit. Sind Sie als Unternehmen betroffen, erfolgt die Meldung in dem Bundesland, in dem die Verletzung aufgetreten ist. Auf den Websites der jeweiligen Aufsichtsbehörden der Bundesländer gibt es für diesen Fall entsprechende Formulare.
Wie ist der Datenschutz in Deutschland geregelt?
In Deutschland gilt wie oben beschrieben die Datenschutzgrundverordnung. Hergeleitet wird das Datenschutzrecht aus dem Recht auf informationelle Selbstbestimmung. Darin ist festgelegt, dass jeder grundsätzlich selbst entscheiden kann, wie mit seinen personenbezogenen Daten umgegangen werden soll. Der Begriff der „personenbezogenen Daten“ spielt im Datenschutzrecht eine zentrale Rolle. Denn nur dann, wenn Daten einen Bezug zu einem Menschen aufweisen (also z. B. bei Namen, Geburtstag, Adresse, E-Mail-Adresse, IP-Adresse oder der Bankverbindung), kommt das Datenschutzrecht zur Anwendung.
Zu den wichtigsten Grundsätzen des Datenschutzrechts gehören:
Verbot mit Erlaubnisvorbehalt
Ein Umgang mit Daten darf nur dann erfolgen, wenn es dazu eine gesetzliche Grundlage gibt oder der Betroffene zugestimmt hat.
Rechtmäßige Verarbeitung nach Treu und Glauben, Transparenz
Die Datenverarbeitung muss auf rechtmäßiger Weise, nach dem Grundsatz von Treu und Glauben und in eine für die betroffene Person nachvollziehbare Weise erfolgen.
Zweckbindung
Daten, die für einen bestimmten Zweck erhobenen bzw. gespeicherten Daten wurden, dürfen auch nur für diesen Zweck verwendet werden.
Datenminimierung
Nach dem Grundsatz der Datenminimierung müssen die personenbezogenen Daten dem Zweck angemessen und für diesen erheblich sein. Die Daten sind auf das notwendige Maß zu beschränken, das für die Verarbeitung notwendig ist.
Speicherbegrenzung
Ist der verfolgte Zweck erreicht ist, müssen die Daten gelöscht werden.
Richtigkeit der Daten
Die erhobenen und verarbeiteten Daten müssen sachlich richtig und auf dem neuesten Stand sein.
Integrität und Vertraulichkeit
Personenbezogene Daten müssen mit geeigneten technischen und organisatorischen Maßnahmen in einer Weise verarbeitet werden, die eine Identifikation der betroffenen Person nur so lange ermöglicht, wie es für den Zweck der Datenbearbeitung erforderlich ist.
Rechenschaftspflicht
Der im datenschutzrechtlichen Sinne Verantwortliche muss die Einhaltung der oben genannten Grundsätze nachweisen können.
Wie können Sie Ihre Daten schützen?
Sicherheit und Datenschutz
stashcat ist der Ende-zu-Ende verschlüsselte, datenschutzkonforme Messenger mit Dateiablage, Videokonferenzen sowie Kalender- und Umfragemodul, der alle Mitarbeiter verbindet. Der Schutz personenbezogener Daten steht an höchster Stelle. Deshalb erhalten Sie von uns eine hochsichere Technologie, welche alle einschlägigen datenschutzrechtlichen Bestimmungen berücksichtigt.
Diese umfassen insbesondere die Regelungen des Telemediengesetzes (TMG) und der Datenschutz-Grundverordnung (DSGVO). Nachstehend möchten wir Sie insbesondere über die Datensicherheit und die dafür unternommenen technischen
Maßnahmen informieren.
Personenbezogene Daten einfach erklärt
Beim Datenschutz geht es in erster Linie um den Schutz von personenbezogenen Daten. Hier erfahren Sie, was personenbezogene Daten einfach erklärt ausmacht und wie Sie verantwortungsbewusst mit Ihnen umgehen.
Personenbezogene Daten einfach erklärt Was sind personenbezogene Daten? Bei personenbezogenen Daten handelt es sich um alle Informationen, die zur Identifizierung einer natürlichen Person verwendet werden können. Das kann alles sein, vom Namen und den Kontaktinformationen einer Person bis hin zu ihren Bankdaten und ihrer Krankengeschichte. Neben jenen offensichtlichen Daten einer natürlichen Person, fallen Daten wie eine IP-Adresse oder ein Autokennzeichen, über die eine Person indirekt nachverfolgbar wird, ebenfalls in diese Kategorie. Personenbezogene Informationen sind für die Identifizierung von Personen unerlässlich und können für eine Vielzahl von Zwecken verwendet werden, z. B. um mit ihnen in Kontakt zu treten oder Rückschlüsse auf ihren Charakter zu ziehen. Hier erfahren Sie, welche Arten von personenbezogenen Daten es gibt, warum personenbezogene Daten so wichtig sind und wie sie innerhalb eines Unternehmens geschützt werden können. Beispiele für personenbezogene Daten
• Informationen über die „persönlichen Verhältnisse“ des Betroffenen selbst, die seiner Identifizierung oder Charakterisierung dienen: Namen, Geburtsdatum, Zeugnissen, Kfz-Kennzeichen, Fotos, Hobbys oder Online-Kennungen • „Sachliche Verhältnisse“ sind Angaben über Sachverhalte, die sich auf den Betroffenen beziehen und ihn z. B. identifizierbar machen: Einkommen, Vermögen, Vertragsbeziehungen, Umfang der Internetnutzung.
Besondere Kategorien personenbezogener Daten Einen besonderen Stellenwert unter den personenbezogenen Daten haben die sogenannten sensiblen oder auch besonderen Daten. Hier fallen folgende Informationen drunter:
Religion
Ethnische Herkunft
politische Meinung
Gewerkschaftszugehörigkeit Gesundheitsdaten
sexuelle Orientierung
biometrische Daten
Im Art. 9 der DS-GVO heißt es dazu: „Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“ Diese Datenkategorien werden vom Gesetzgeber als besonders schützenswert betrachtet, weshalb für sie strengere Vorschriften gelten. In der Regel genießen diese sensiblen personenbezogenen Daten einfach erklärt einen besonderen Schutz. Personenbezogene Daten Liste Weitere Beispiele für die Verarbeitung von personenbezogenen Daten In der heutigen Welt möchte jede Person an sich ihre personenbezogenen Daten ordentlich gespeichert und geschützt wissen. Damit Sie sich jedoch im Umgang mit ihren eigenen oder den Informationen anderer sicher fühlen, müssen Sie sich darüber im Klaren sein, wo überall Daten erfasst und verarbeitet werden.
Erst ein Bewusstsein darüber, welche Stellen alles im Alltag personenbezogene Daten verarbeiten, macht uns sensibel für das mögliche Missbrauchspotential, das aggregierte Daten innehaben! Diese Auflistung beinhaltet eine Vielzahl von Institutionen und Stellen, mit denen wir tagtäglich zu tun haben, ist allerdings nicht abschließend. Offensichtliche Informationen, wie Ihren Namen, Ihre Anschrift und das Geburtsdatum werden nicht durchgehend genannt.
Adresshandel Merkmale, die zu Werbezwecken
gesammelt & weitergegeben werden
Arbeitgeber Qualifikationen
Abrechnungsrelevante Daten
Bankverbindung
Arbeitszeit/ Urlaub
Steuernr.
Sozialversicherungsnr.
Autovermietung Führerscheindaten
Abrechnungs-Informationen
Bankverbindung
Kreditkartendaten
Fahrzeugdaten
Übernahmeort eines Fahrzeugs
Abgabeort eines Fahrzeugs Bank Bankverbindung
Einkommensstatus
Daten zum Zahlungsverkehr
Abhebungen an Geldautomaten
inkl. Standorte & Uhrzeit, Steuernr.
Bücherei entliehene Bücher & Medien
Agentur für Arbeit Sozialversicherungsnr.
Daten über frühere Einkommen & Beschäftigungsverhältnisse,
Abrechnungsdaten
Bankverbindung
Einwohnermeldeamt Daten nach dem Meldegesetz
Einzelhandel Bankverbindung
Kreditkartendaten
Gekaufte Artikel
Energieversorger Bankverbindung
Abrechnungs- & Vertragsdaten
Daten zum Energieverbrauch Fach-/Hausarzt Krankenversicherung
Gesundheitsdaten
Finanzamt Steuernr.
Steuerrelevante Daten
über Einkommen & Eigentum GEZ Daten zur Rundfunkabrechnung
Bankverbindung
Hotel Daten aus Meldeformular
gemäß Meldegesetz
gemäß Meldegesetz mitreisende Personen
Bankverbindung
Kreditkartendaten
Jobbörsen Telefon
Schulabschlüsse
Berufsausbildung
ehemalige Arbeitgeber
Zeugnisse
Kirche Religionszugehörigkeit
Hochzeit
Taufe
Kommunion/ Konfirmation
Kraftfahrtbundesamt Fahrzeug- & Halterdaten
aller zugelassenen Fahrzeuge
aller zugelassenen Fahrzeuge "Punkte"
Führerscheindaten
Fahrerkarte (Bus/ Lkw)
Krankenhaus Krankenversicherung
Gesundheitsdaten
Kontaktdaten von Angehörigen
Krankenversicherung Informationen zum Versicherungsvertrag
Daten zu mitversicherten Angehörigen,
Sozialversicherungsnr.
Gesundheitsstatus
Kreditkartenanbieter Bankverbindung
Kreditkartendaten
Informationen zum Zahlungsverkehr
Zahlungsorte/-uhrzeiten
Bonität Kundenkartenanbieter Konsumverhalten
Eingelöste Prämien
Leasinggesellschaft Abrechnungsdatum
Bankverbindung
Kreditkartendaten
Fahrzeugdaten
Medizinisches Labor Krankenversicherung
Abrechnungsdatum
Untersuchungsergebnisse
von Blut-, & Gewebetests,
von Blut-, & Gewebetests, z.B. Schwangerschaft, HIV etc.
Onlineshops E-Mail
Bankverbindung
Kreditkartendaten
angesehene Produkte
bestellte Produkte
Lieferanschriften Portale für Onlinespiele Pseudonym
Bankverbindung/ Kreditkartendaten
Bevorzugte Spiele
Spielstände
Gewinninfos/ Kontostände
Reisebüro Reiseziele
Daten zum Visumsantrag
Impfnachweise
Abwesenheitszeiten von der Wohnung (Reisedaten)
Rentenversicherungsträger Daten zu Beitragszahlungen
& Rentenhöhe
& Rentenhöhe Sozialversicherungsnr.
Schufa Bankverbindungen
Daten über Kredite & Bonität
Schule Erziehungsberechtigte
Verhaltens- & Leistungsdaten des Kindes
Daten über Abwesenheitszeiten
Singlebörsen Geschlecht
Bankverbindung
Kreditkartendaten
Foto
Größe/ Gewicht
Hobbys
sexuelle Vorlieben
Kinderwunsch
Bildungsstand
Einkommen
Eigenschaften des gesuchten Partners
Antworten auf "Flirtfragen" Soziale Netzwerke Pseudonyme
Telefon-Nr.
Besuchte Schule & Abschlüsse
Vernetzung zu Freunden/ Bekannten
politische Anschauungen
besuchte Veranstaltungen
Fotos
Verknüpfte Apps und Konten
Standesamt Daten über Hochzeiten & Scheidungen
Daten der Kinder
Daten der Eltern Steuerberater Pseudonyme
Einkommens- & Vermögensdaten
Steuernr.
Telekommunikationsanbieter Abrechnungsdaten
Bankverbindung
Verbindungsdaten aller Anrufe
Vereine Abrechnungsdaten
Bankverbindung
Mitgliedsinformationen
(z.B. über eine ausgeübte Sportart)
Versandhandel Abrechnungsdaten
Bankverbindung
evtl. Daten über Ratenkredite, Konsumverhalten Versicherungen Bankverbindung
Daten über Versicherungsverträge
evtl. Gesundheitsdaten
Dies ist lediglich ein Auszug möglicher Datenpunkte, bei denen Sie Spuren hinterlassen.
Wie Sie sehen, kommt da schnell einiges zusammen.
Warum müssen personenbezogene Daten geschützt werden? Der Schutz personenbezogener Daten ist aus einer Reihe von Gründen wichtig.
Personenbezogene Daten können für Datenmissbrauch verwendet werden, was z.B. bei Betrug oder Identitätsdiebstahl schwerwiegende Folgen haben kann. So können Betrüger mithilfe Ihrer Kreditkartennummer z.B. Flugtickets buchen oder sogar in Ihrem Namen strafrechtlich in Erscheinung treten.
Außerdem werden personenbezogene Daten oft verwendet, um Bewertungen von oder Entscheidungen über Menschen zu treffen. So kann ein Unternehmen personenbezogene Daten nutzen, um zu entscheiden, ob es jemandem einen Kredit oder eine Versicherung gewährt oder nicht. Erfährt eine Versicherung, bei der Sie eine Lebensversicherung abschließen möchten, z.B., dass Ihr Lieblingshobby das Fallschirmspringen ist, ist es nicht unwahrscheinlich, dass sie Ihren Versicherungstarif auf dieser Grundlage deutlich erhöht. Die Verwendung von personenbezogenen Informationen kann auch Auswirkungen auf die beruflichen oder sozialen Perspektiven einer Person haben. So zum Beispiel in einem Streitfall vor dem Arbeitsgericht Herne im März 2016. Mit seinem privaten Profil, auf dem er seinen Arbeitgeber öffentlich verlinkt hatte, kommentierte ein Mitarbeiter einen öffentlichen Nachrichten-Artikel über einen Brand in einer Flüchtlingsunterkunft.
Seine Worte "hoffe das alle verbrennen,,, die nicht gemeldet sind." führten dazu, dass er von seinem Arbeitgeber außerordentlich gekündigt. Auch werden persönliche Daten im beruflichen Kontext oft verwendet, um die Qualifikationen eines potenziellen Mitarbeiters zu bewerten. Viele Unternehmen überprüfen hierzu insbesondere die Profile von potenziellen Bewerbern in den sozialen Medien als Teil des Bewerbungsverfahrens. Wann dürfen personenbezogene Daten verarbeitet werden? In der Regel wird eine Verarbeitung personenbezogener Daten auf der Grundlage Ihrer Einwilligung oder einer gesetzlichen Anordnung, die Daten zu erheben und zu speichern, vollzogen. Die Europäische Datenschutzgrundverordnung (DS-GVO), welche die gesetzliche Grundlage für alle Detailfragen zum Datenschutz innerhalb von Europa bietet, sieht neben diesen beiden Gründen noch eine Reihe weiterer Anwendungsfälle, bei denen eine Verarbeitung von Daten erlaubt ist. Diese finden Sie in Artikel 6 (Rechtmäßigkeit der Verarbeitung) in der DS-GVO.
Vereinfacht dargestellt handelt es sich hier um: eine Vertragsanbahnung
den Schutz lebenswichtiger Interessen
ein öffentliches Interesse
ein berechtigtes Interesse der verarbeitenden Stelle Wie kann man personenbezogene Daten schützen? Im privaten Kontext steht und fällt der Schutz von personenbezogenen Daten v.a. mit dem eigenen Umgang mit jenen Daten. Seien Sie sorgsam, wo Sie welche Informationen über sich und andere preisgeben und machen Sie von Ihren Rechten als Betroffener Gebrauch, um z.B. Daten-verarbeitende Stellen nach dem Verbleib Ihrer Daten zu befragen und die jeweilige Löschung der Daten zu verlangen, wo es möglich ist. Doch auch wenn Sie hier alles richtig machen, kann es trotzdem sein, dass Sie Opfer eines Missbrauchs Ihrer personenbezogenen Daten werden, wenn z.B. eine Datenbank einer lokalen Kommunalbehörde gehackt und dadurch Ihre Daten im Darknet veröffentlicht werden. Im beruflichen Alltag haben wir alle tagtäglich mit personenbezogenen Daten von Kunden, Kollegen oder Lieferanten zu tun. Anhand der Telefonnummer im Display erkennen wir den Anrufer. Der Name und der Arbeitgeber des Absenders einer E-Mail können aus der jeweiligen E-Mail-Adresse entnommen werden. Neben diesen relativ „normalen“ Daten fällt jedoch eine Menge weitere personenbezogener Angaben – insbesondere in elektronischer Form – an, deren Veröffentlichung für den Betroffenen unter Umständen unangenehme Folgen haben kann. Denken Sie beispielsweise an Lohn- und Gehaltsinformationen, Gesundheitsdaten, Bankverbindungen, Privatadressen, Bonitätsdaten etc.
Aufgabe der Geschäftsführung, gemeinsam mit dem Schutz von Personendaten erfolgt hier in der Regel über die sogenannten Technisch- und Organisatorischen Maßnahmen. Hier ist es die, gemeinsam mit dem Datenschutzbeauftragten und weiteren Verantwortlichen wie die Personal-/ Marketing- und IT-Abteilung dafür zu sorgen, dass alle Vorgänge, bei denen personenbezogene Daten verarbeitet werden, gemäß den Richtlinien aus der DS-GVO geschützt und gesichert sind. Dererfolgt hier in der Regel über die sogenannten
Beispiele für technische Maßnahmen zum Schutz von personenbezogenen Daten sind: Die Verschlüsselung von Backups auf einer externen Festplatte, wo täglich die gesamte Kundendatenbank gesichert wird
auf einer externen Festplatte, wo täglich die gesamte Kundendatenbank gesichert wird Das Löschen nicht mehr benötigter Daten , deren Speicherung keinen sinnvollen Zweck mehr erfüllt
, deren Speicherung keinen sinnvollen Zweck mehr erfüllt Die Nutzung von Passwortmanagern zur Sicherstellung von sicheren Passwörtern Beispiele für organisatorische Maßnahmen zum Schutz von personenbezogenen Daten sind: Das Abschließen von Auftragsverarbeitungsverträgen mit Dritten, die Zugriff auf personenbezogene Daten aus dem Unternehmen haben
mit Dritten, die Zugriff auf personenbezogene Daten aus dem Unternehmen haben Die Schulung der Belegschaft zum sensiblen Umgang mit personenbezogenen Daten
zum sensiblen Umgang mit personenbezogenen Daten die Festlegung klarer Verfahren für den Umgang mit personenbezogenen Daten. Zwei Verfahren zum Schutz personenbezogener Daten Zwei mögliche Wege zum Schutz personenbezogener Daten liegen in der Pseudonymisierung (der Verschlüsselung des Personenbezugs) und der Anonymisierung (z. B. wenn Sie personenbezogene Daten schwärzen). Als Unternehmer müssen Sie bei der Verarbeitung von personenbezogenen Daten unbedingt den Unterschied zwischen anonymen und pseudonymen Daten kennen und wissen, wie Sie die Daten Ihrer Kunden, Lieferanten und Mitarbeiter entsprechend schützen können. Beide Datentypen haben ihre Vor- und Nachteile, daher sollten Sie immer individuell pro Anwendungsfall schauen, wann Sie auf welchen Datentypen zurückgreifen. Wann sind personenbezogene Daten pseudonymisiert? Personenbezogene Daten sind pseudonymisiert, wenn bei ihnen die identifizierenden Elemente entfernt wurden, es aber anschließend noch möglich ist, dass eine Person mit den Daten in Verbindung gebracht werden kann. Wenn Ihr Name zum Beispiel Max Mustermann ist, würde er pseudonymisiert einfach "Max M." lauten. Pseudonymisierte Daten stellen einen gewissen Schutz für die personenbezogenen Daten einer Person dar, können jedoch immer noch "entschlüsselt" werden, wenn letztlich nicht ausreichend Sicherheitsmaßnahmen zu ihrem Schutz getroffen werden. Wann sind personenbezogene Daten anonymisiert? Personenbezogene Daten anonymisieren ist vorwiegend sinnvoll, wenn ihr eigentlicher Personenbezug für das Unternehmen keinerlei Relevanz hat. Das kann etwa sein, wenn Sie eine E-Mail-Umfrage machen, um herauszufinden, wie es statistisch um die Ernährungsweise Ihrer Kontakte steht. Nun befragen Sie 100 Kontakte per Mail, ob sie Veganer, Vegetarier, Fleischfresser etc. sind.
Sie bitten alle Teilnehmenden Ihnen die jeweilige Präferenz in einer formlosen Antwortmail zukommen zu lassen. Die jeweilige Antwort führt dazu, dass Sie die jeweilige Ernährungsweise mit einer bestimmten E-Mail-Adresse, und somit einer eindeutig identifizierbaren Person verknüpfen, was für Ihre Umfrage aber eigentlich keine Relevanz hat. In dieser Erhebung zählt am Ende das Gesamtergebnis. Also erfassen Sie die jeweiligen Antworten gesammelt in einer Exceltabelle und löschen anschließend die E-Mails. Dies stellt sicher, dass die für die Umfrage nicht relevanten Daten entfernt werden, sodass die Antworten der befragten Personen nicht mehr eindeutig zugeordnet werden können und letztlich die personenbezogenen Daten anonymisiert verarbeitet werden.
Genau genommen, handelt es sich bei anonymisierten Daten nicht mehr um personenbezogene Informationen, da bei ihnen alle identifizierenden Informationen entfernt wurden und nicht mehr mit einer bestimmten Person in Verbindung gebracht werden können.
Anonymisierte Daten bieten das höchste Maß an Schutz für die persönlichen Daten einer Person und können nicht zurückverfolgt werden. Je nachdem welchen Grund es für Ihre Speicherung gibt, kann es hier aber auch schnell passieren, dass die Daten unbrauchbar werden, sobald Sie zu stark anonymisiert wurden.
Zusammenfassendes Fazit Sowohl als Privatperson, aber auch als Mitarbeiter oder Unternehmer ist es wichtig, sich mit personenbezogenen Daten auseinanderzusetzen. Ein sensibler Umgang schützt Sie und darüber hinaus auch andere davor, dass personenbezogene Daten in falsche Hände geraten. Die DS-GVO (Datenschutzgrundverordnung) will allen Menschen gleichermaßen, unabhängig von Status, Position oder Herkunft eine Kontrolle über die eigenen, personenbezogenen Daten geben. Damit eine für eine Datenverarbeitung verantwortliche Stelle personenbezogene Angaben verarbeiten kann, wird in der Regel die Zustimmung der jeweiligen Person, die die Daten zur Verfügung stellt, eingeholt. Hierdurch bekommt eine Verarbeitung der Daten letztlich einen rechtlichen Rahmen, der im Wesentlichen den Datenschutz im europäischen Rechtsraum als solchen ausmacht.
FAQ - Häufig gestellte Fragen zu personenbezogenen Daten
Wann müssen personenbezogene Daten gelöscht werden? Personenbezogene Daten dürfen so lange gespeichert werden, bis die zulässige Dauer der Speicherung, die durch den jeweiligen Zweck einer Datenverarbeitung bestimmt wird, erreicht wurde. Dieser sogenannte "Grundsatz der Zweckbindung" ist ein zentraler Bestandteil in der DS-GVO. Er besagt, dass Unternehmen nur dann personenbezogene Daten verarbeiten dürfen, wenn der Speicherungszweck klar definiert ist und sichergestellt wird, dass die Daten gelöscht werden, sobald sie nicht mehr für den ursprünglichen Zweck benötigt werden. Allgemeingültige Aufbewahrungsfristen für personenbezogene Daten existieren nicht. In einigen Fällen kann es aber sein, dass andere gesetzliche Aufbewahrungspflichten eine längere Speicherung der Daten voraussetzen. Solche finden sich bspw. im Handelsgesetzbuch (HGB) oder der Abgabenordnung (AO) für alle steuerrelevanten Daten im Unternehmen.
Sind Fotos oder Bilder personenbezogene Daten? Ja, innerhalb der EU gilt jedes Foto oder auch z.B. Video, auf dem eine natürliche Person erkennbar ist, als ein personenbezogenes Datum. Dies trifft selbstverständlich nicht auf reine Landschaftsaufnahmen zu.
Die Klassifikation von Fotos als zu personenbezogenen Daten hat weitreichende Konsequenzen z.B. für Fotografen und Soziale Netzwerke, da sie natürliche Personen u.A. vor einer unerlaubten Vervielfältigung des eigenen Bildes schützen soll. Zählt das Gehalt zu den personenbezogenen Daten? Das Gehalt als solches ist erstmal kein personenbezogenes Datum, solange es nicht mit einer Person verknüpft oder verknüpfbar wird. Sobald die Gehaltsinformationen jedoch Rückschlüsse darauf zulassen, wer damit bezahlt wird oder wie viel er oder sie verdient, wird auch das Gehalt personenbezogen. Ab wann gelten personenbezogene Daten als "verarbeitet"? Jedes Mal, sobald irgendeine Art von Information genutzt wird, ob personenbezogen oder nicht, fällt dies unter den Begriff der Verarbeitung. Hierzu zählen u.A. die folgenden Handlungen: Das Bereitstellen, Präsentieren, Übermitteln, Verbreiten und Vervielfältigen von Informationen
Das Korrigieren, Verändern, Organisieren und Zusammenführen von Informationen
Das Erfassen, Aufzeichnen und Auslesen von Informationen
Das Lagern und Speichern von Informationen Warum ist eine IP ein personenbezogenes Datum? Spätestens seit dem Urteil des EuGH aus 2016 ist klar, dass IP-Adressen als personenbezogene Daten gelten. Auch wenn nicht immer unbedingt eine unter einer IP-Adresse surfende Person eindeutig identifiziert werden kann, so gilt dies im Regelfall doch zumindest, für die Person, auf deren Namen der jeweilige Internetanschluss angemeldet wurde. Dies ist vor allem von Website-Betreibern zu beachten, da alle gängigen Serversysteme auf denen Websites ausgeliefert werden, IP-Adressen von Haus aus verarbeiten. Vorsicht ist vor allem geboten bei Hostingangeboten außerhalb des europäischen Wirtschaftsraumes, sowie bei einer Vielzahl von Tools für die eigene Website. Hier kommt es, bei einer sorglosen Verwendung, schnell zu einer illegalen Übertragung der personenbezogenen IP-Adresse in (den Datenschutz-betreffende) unsichere Drittländer wie z.B. die USA, was häufig zu Problemen oder Rechtsstreitigkeiten führen kann. Unterstützung im Bereich Online-Datenschutz finden Sie hier.
